Il Garante per la protezione dei dati personali ha sanzionato Intesa Sanpaolo con una maxi‑multa da 31,8 milioni di euro per una vicenda di “conti bancari spiati” da parte di un dipendente, che ha acceso un intenso dibattito sulla sicurezza dei dati nei sistemi bancari tradizionali e digitali.
Il caso nasce dal cosiddetto data breach notificato dalla stessa Intesa Sanpaolo nel luglio 2024, quando l’istituto ha ammesso che un collaboratore interno aveva effettuato oltre 6.600 consultazioni non autorizzate sui conti di 3.573 clienti tra febbraio 2022 e aprile 2024.
Tra i profili coinvolti figurano anche politici di primo piano, Ministri, vertici istituzionali e personaggi noti, il che ha reso il caso di particolare sensibilità politica e mediatica.
Il Garante, in un comunicato ufficiale, ha individuato nel comportamento del dipendente il sintomo di gravi carenze nella sicurezza dei dati personali, legate soprattutto all’inadeguatezza dei controlli interni e dei presidi tecnici e organizzativi, che avrebbero dovuto intercettare per tempo accessi così anomali e ripetuti.
Perché la sanzione è così pesante?
La sanzione da 31,8 milioni è motivata dalla gravità e dalla durata delle violazioni, che si sono protratte per oltre due anni, e dal numero elevato di persone coinvolte, tutte titolari di conti bancari e dunque soggetti a un rischio concreto di esposizione di dati sensibili.
L’Autorità ha sottolineato anche il potenziale danno alla reputazione e alla tranquillità dei clienti, soprattutto dove i conti sono strettamente legati a figure pubbliche, ma la scelta è ricaduta su tutti i profili, anche quelli “normali”.
Nel calcolare l’importo è stato comunque considerato che il dipendente è stato licenziato al primo insorgere del sospetto e che Intesa Sanpaolo ha poi avviato una serie di misure correttive per rafforzare i sistemi di controllo interno e la sicurezza dei dati.
Un campanello d’allarme per i clienti
Per chi ha un conto in banca, il caso è un monito: la sicurezza passa non solo dalla cifratura dei dati e dall’uso di app sicure, ma anche dai controlli interni che limitino l’accesso a informazioni sensibili a soli profili autorizzati e con tracciabilità trasparente.
Il Garante, inoltre, ha ricordato che la disciplina del Regolamento europeo sulla protezione dei dati (GDPR) prevede sanzioni fino al 4% del fatturato globale, lasciando aperta la possibilità di importi ancora più alti in scenari di violazioni più estese.
Per MondoUomo.it, il messaggio è chiaro: a fronte di un’offerta sempre più digitale e personalizzata, la vera competenza di una banca si misura anche dal rispetto e dalla protezione dei dati dei propri clienti, non solo dai tassi di interesse o dalle promozioni.
